Firefox corrige dos vulnerabilidades de día cero

Mozilla ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en su navegador Firefox que podrían ser explotadas para acceder a datos confidenciales o lograr la ejecución de código.

Análisis

Mozilla ha lanzado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en su navegador Firefox que podrían ser explotadas para acceder a datos confidenciales o lograr la ejecución de código.

Las vulnerabilidades, ambas explotadas como día cero, se enumeran a continuación:

    • CVE-2025-4918: Una vulnerabilidad de acceso fuera de límites al resolver objetos Promise que podría permitir a un atacante realizar operaciones de lectura o escritura en un objeto Promise de JavaScript.
    • CVE-2025-4919: Una vulnerabilidad de acceso fuera de límites al optimizar sumas lineales que podría permitir a un atacante realizar operaciones de lectura o escritura en un objeto JavaScript al confundir los tamaños de índice de la matriz.

En otras palabras, la explotación exitosa de cualquiera de las vulnerabilidades podría permitir a un adversario realizar operaciones de lectura o escritura fuera de los límites , que luego podrían usarse para acceder a información que de otro modo sería confidencial o provocar una corrupción de memoria que podría allanar el camino para la ejecución de código.

Recursos afectados

    • Todas las versiones de Firefox anteriores a la 138.0.4 (incluido Firefox para Android).
    • Todas las versiones de Firefox Extended Support Release (ESR) anteriores a la 128.10.1.
    • Todas las versiones de Firefox ESR anteriores a 115.23.1

Recomendaciones

Se recomienda actualizar a la ultima versión de la aplicación.

Referencias

[SCI] Vulnerabilidad crítica en productos de Rockwell

Introducción

FactoryTalk Historian-ThingWorx Connection Server de Rockwell tiene una vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un atacante provocar ataques basados en XXE en aplicaciones que acepten ficheros log4net con una configuración maliciosa.[1]  

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2018-1285– Restricción incorrecta de la referencia a entidad externa XML (CWE-611):

FactoryTalk Historian-ThingWorx Connector emplea el software de terceros Apache log4net que, en sus versiones anteriores a la 2.0.10, no deshabilita las entidades externas XML durante el análisis de los ficheros de configuración de log4net. Esto puede permitir a un atacante realizar ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net manipulados.

  • Los recursos afectados son los siguientes:
    • FactoryTalk Historian-ThingWorx Connection Server 95057C-FTHTWXCT11 versión 4.02.00 y anteriores.

Recomendaciones

Actualizar el producto a la versión 5.00.00 o posterior. 

Referencias

[1] Rockwell – SD1728 – Apache Vulnerability in FactoryTalk® Historian-ThingWorx Connection Server

Actualización de Seguridad de Adobe de Mayo 2025

Adobe ha lanzado una actualización de seguridad crítica que aborda al menos 39 vulnerabilidades en diversos productos, incluyendo Adobe ColdFusion, Photoshop, Illustrator, Lightroom, Dreamweaver, Connect, InDesign, Substance 3D Painter, Bridge y Dimension.

Análisis

Las vulnerabilidades identificadas abarcan una variedad de productos y afectan tanto a plataformas Windows como macOS. La explotación exitosa de estas fallas podría permitir a atacantes ejecutar código arbitrario, eludir funciones de seguridad, acceder a información sensible o causar interrupciones en el servicio. Adobe ha señalado que no tiene conocimiento de que estas vulnerabilidades hayan sido explotadas activamente antes de la disponibilidad de los parches.

Parta mas información sobre las vulnerabilidades se recomienda consultar el boletín de seguridad de Adobe.

Recursos afectados

    • Adobe ColdFusion: versiones CF2023: hasta la 2023.0.1.314 y CF2021: hasta la 2021.0.10.314.
    • Adobe Photoshop: versiones 2023 hasta la 24.7.3 y 2024: hasta la 25.9.1.
    • Adobe Illustrator: No se han especificado versiones.
    • Adobe Lightroom: No se han especificado versiones.
    • Adobe Dreamweaver: No se han especificado versiones.
    • Adobe Connect: No se han especificado versiones.
    • Adobe InDesign: No se han especificado versiones.
    • Adobe Substance 3D Painter: No se han especificado versiones.
    • Adobe Bridge: No se han especificado versiones.
    • Adobe Dimension: No se han especificado versiones.

Recomendaciones

Adobe recomienda que los usuarios y administradores de sistemas apliquen las actualizaciones correspondientes sin demora.

    • Adobe ColdFusion: CF2023: 2023.0.1.315 y CF2021: 2021.0.10.315
    • Adobe Photoshop: 2023: 24.7.4 y 2024: 25.11
    • Adobe Illustrator: Actualización disponible en el sitio oficial
    • Adobe Lightroom: Actualización disponible en el sitio oficial
    • Adobe Dreamweaver: Actualización disponible en el sitio oficial
    • Adobe Connect: Actualización disponible en el sitio oficial
    • Adobe InDesign: Actualización disponible en el sitio oficial
    • Adobe Substance 3D Painter: Actualización disponible en el sitio oficial
    • Adobe Bridge: Actualización disponible en el sitio oficial
    • Adobe Dimension: Actualización disponible en el sitio oficial

Las versiones corregidas específicas pueden variar según el producto y la plataforma. Se recomienda consultar el sitio oficial de Adobe para obtener detalles precisos.

Referencias

Parches de Seguridad de mayo de 2025 de Microsoft

Ayer, 13 de mayo de 2025, Microsoft publicó su actualización mensual de seguridad, Patch Tuesday, abordando un total de 75 vulnerabilidades. Cinco de estas vulnerabilidades han sido identificadas como «zero-day» activamente explotadas, mientras que otras dos han sido divulgadas públicamente sin evidencia de explotación. Además, se han corregido 12 vulnerabilidades críticas, principalmente de ejecución remota de código (RCE) y elevación de privilegios.
Estas vulnerabilidades afectan una amplia gama de productos, incluidos Windows (10, 11 y versiones de servidor), Microsoft Office, Visual Studio, Edge (modo IE), y servicios como Active Directory y Remote Desktop Gateway. La gravedad de esta ronda de parches destaca la necesidad urgente de aplicar las actualizaciones correspondientes.

Análisis

A continuación, se destacan las vulnerabilidades más relevantes:

    • Zero days activos
      • CVE-2025-30397 (CVSS 7.5): Corrupción de memoria en el motor de scripting de tipo Ejecución Remota de Código (RCE). Explotada activamente
      • CVE-2025-32706 (CVSS ND): Vulnerabilidad en CLFS (Common Log File System) de tipo Elevación de privilegios. Explotada
        activamente
      • CVE-2025-32701 (CVSS ND): Vulnerabilidad adicional en CLFS de tipo Elevación de privilegios. Explotada activamente
      • CVE-2025-32709 (CVSS ND): Vulnerabilidad en Windows WinSock Helper de tipo Elevación de privilegios. Explotada activamente
      • CVE-2025-32392 (CVSS ND): Vulnerabilidad en el componente MSHTML (Edge IE mode) de tipo RCE vía navegador. Explotada activamente
    • Otras vulnerabilidades críticas
      • CVE-2025-30504 (CVSS 9.8): Vulnerabilidad de tipo Elevación de privilegios
      • CVE-2025-30501 (CVSS 8.1): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)
      • CVE-2025-30506 (CVSS 8.5): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)
      • CVE-2025-30502 (CVSS 8.8): Vulnerabilidad de tipo Ejecución Remota de Código (RCE)

Recursos afectados

    • Sistemas Operativos: Windows 10 y 11
    • Aplicaciones: Microsoft Edge (modo IE), Visual Studio, Microsoft Defender for Identity
    • Servicios: Windows Routing and Remote Access Service (RRAS), Remote Desktop Gateway Service, Active Directory Certificate Services (AD CS)

Recomendaciones

    • Aplicar todos los parches de seguridad proporcionados por Microsoft.
    • Priorizar la mitigación de los 5 zero-days, especialmente en sistemas expuestos a internet.
    • Deshabilitar el modo IE en Microsoft Edge si no es necesario.
    • Revisar y reforzar las configuraciones de seguridad en servicios como RRAS y Remote Desktop Gateway.

Referencias